很多网站的管理员非常不细心,目录索引(列目录)有时是非常致命的,随便找了个网站(表示国内某211官网躺着中枪 -_-||),文件目录被看的一清二楚
就拿这个网站来说,各种目录都能爆出来,那基本上大门就已经敞开了一半,就好比一扇坚固的防盗门,但内部的锁结构却毫无掩饰的暴露在外面,接下来很容易就被专业人员通过研究寻找漏洞或者直接下载到一些重要信息,比如说后台帐号密码之类,从而一举拿下网站
好了,对于渗透的东西今天就说到这里,今天主要将的是如何防范
先以Apache服务器来说,我们可以通过配置 httpd.conf 文件禁用目录的索引
httpd.conf 文件的路径为 apache/etc/apache/httpd.conf
打开并找到Options Indexes FollowSymLinks这句话
1 2 3 4 5 6 | <Directory "D:/xampp/htdocs"> Options Indexes FollowSymLinks Includes ExecCGI AllowOverride none Order allow,deny Allow from all </Directory> |
把其中 Options Indexes FollowSymLinks Includes ExecCGI 这句话里的 Indexes 去掉即可
当然对于很多使用虚拟主机的朋友来说通常是没有权限配置httpd.conf文件的,如果是国内的空间,需要配置的话通常需要看一下你的管理后台是否有配置目录索引的功能,没有的话如果不想中枪还是及时和服务商联系。国外的空间很多是使用cPanel的,那么同样可以自行设置目录浏览权限
手上正好有一个cPanel的空间,点击[高级]–>[索引管理器]
选择[无索引]
设置成功后访问网站xxx目录,出现You don’t have permission to access /xxx/ on this server.等字样说明设置成功
ASP以及其他服务器的禁用目录索引方法之后再补充吧
简单对此缺陷做一个评分:
致命指数:★★★
修复难度:★
骇客喜爱指数:★★★★★
管理员忽视程度:★★★
BeiTown
2012.11.29